IT&R
Gepubliceerd op donderdag 18 juni 2026
IT 5315
      

Artikel geschreven door Chantal Bakermans, Penrose.law.

AI-aansprakelijkheid voor ondernemingen: waarom agentic AI een bestuurlijk risico is

Chantal Bakermans, 20 mei 2026. 

AI-aansprakelijkheid voor ondernemingen: waarom agentic AI een bestuurlijk risico is

AI is niet langer een hulpmiddel naast het bedrijfsproces, maar een procesdeelnemer met toegang tot data, externe input en de bevoegdheid om namens de organisatie te handelen. Die combinatie verandert AI-risico van een IT-vraagstuk in een juridisch en bestuurlijk vraagstuk. Dit artikel bespreekt waar de aansprakelijkheid ligt, welke regelgeving van toepassing is (AI Act, AVG, NIS2, DORA, productaansprakelijkheid) en welke stappen ondernemingen nu zouden moeten zetten.

De nieuwe bedrijfsblindheid: AI die handelt in plaats van adviseert

Ergens in een middelgrote organisatie gebeurt op maandagochtend iets dat niemand als incident herkent. Een AI-assistent verwerkt e-mails van leveranciers, vat contractwijzigingen samen, zet afwijkingen in het ERP-systeem klaar en stuurt conceptreacties naar klanten. Het systeem is niet autonoom in sciencefictionzin. Het heeft geen wil, geen eigen agenda en geen toegang tot de boardroom. Maar het heeft wel drie eigenschappen die in combinatie gevaarlijk zijn: toegang tot vertrouwelijke data, blootstelling aan externe informatie en de mogelijkheid om namens de organisatie te handelen.

Een leverancier stuurt een pdf met gewijzigde specificaties. In die pdf staat — onzichtbaar voor de menselijke lezer of verpakt als ogenschijnlijk normale tekst — een instructie die het model interpreteert als opdracht. De AI-assistent past een leveringsplanning aan, deelt interne prijsinformatie in een reply chain en markeert een compliance-waarschuwing als opgelost. Niemand heeft ingebroken. Niemand heeft bewust bedrijfsgeheimen gelekt. Het systeem heeft gedaan waarvoor het ontworpen leek: lezen, interpreteren en handelen.

Dat is de ongemakkelijke realiteit van AI toepassing in bedrijfsprocessen. Het risico zit niet langer alleen in het antwoord dat een chatbot verzint. Het zit in de koppeling tussen taal en bevoegdheid. Taalmodellen zijn van nature goed in het verwerken van ambiguïteit; organisaties bouwen er vervolgens API’s, workflows, goedkeuringslagen en communicatiekanalen omheen. Daarmee verschuift AI van de rand van de organisatie naar de kern van de operatie. En zodra AI daar terechtkomt, verandert een technisch falen in een juridisch, commercieel en bestuurlijk probleem.

De vraag is dus niet meer of een model kan hallucineren. Dat weten we. De vraag is wat er gebeurt als een hallucinerend, beïnvloedbaar of verkeerd geïnstrueerd systeem bevoegdheden krijgt binnen een proces dat klanten, leveranciers, toezichthouders of andere stakeholders raakt. En direct daarna: wie draagt de gevolgen?

Van chatbot naar procesdeelnemer: de tweede golf van AI-adoptie

De eerste golf generatieve AI was zichtbaar en relatief overzichtelijk. Medewerkers gebruikten tools om teksten te schrijven, vergaderingen samen te vatten of code te genereren. Dat bracht risico’s mee, vooral rond vertrouwelijkheid, auteursrecht, kwaliteit en datalekken. Maar het bleef vaak een hulpmiddel naast het proces. De mens kopieerde, plakte, controleerde en verzond.

De tweede golf is fundamenteler. AI wordt ingebouwd in bestaande systemen: CRM, ERP, procurement, HR, finance, customer support, softwareontwikkeling, legal operations en risk management. De AI leest niet alleen, maar classificeert. Zij adviseert niet alleen, maar prioriteert. Zij schrijft niet alleen een concept, maar start een workflow. Zij signaleert niet alleen een afwijking, maar zet ook een vervolgactie klaar.

Deze integratie heeft een duidelijke zakelijke logica. Bedrijven willen minder frictie, kortere doorlooptijden, lagere kosten en betere besluitvorming. Een AI-agent die orders controleert, contractclausules vergelijkt of supporttickets afhandelt, kan reële waarde leveren. Maar de juridische en organisatorische verleiding is dat men agentic AI blijft behandelen alsof het een softwaretool is, terwijl het in werkelijkheid steeds vaker een procesdeelnemer wordt.

Dat verschil is cruciaal. Een tekstgenerator die een fout antwoord geeft, veroorzaakt reputatierisico of kwaliteitsverlies. Een AI-agent die met operationele systemen is verbonden, kan contractuele posities wijzigen, klantinformatie verspreiden, kredietbeslissingen beïnvloeden, personeelsselecties sturen, sanctiescreening verkeerd interpreteren, incidentmeldingen vertragen of leveranciers ten onrechte goedkeuren. Dan is de schade niet langer beperkt tot een onjuiste zin. Dan wordt de output onderdeel van het handelen van de onderneming.

De dodelijke drie-eenheid: data, externe input en handelingsbevoegdheid

In de technische beveiligingsgemeenschap wordt het grootste risico van AI-agenten vaak samengevat als de lethal trifecta (oftewel: de dodelijke drie-eenheid): toegang tot bedrijfs- of privacygevoelige data, onbetrouwbare externe input en de mogelijkheid om zelfstandig te communiceren of te handelen.

Elk element afzonderlijk is beheersbaar:

  • Een systeem dat vertrouwelijke data kan lezen maar niets extern kan doen, is riskant maar af te schermen.
  • Een systeem dat externe informatie leest maar geen bedrijfsdata kent, kan worden misleid maar niet direct geheimen lekken.
  • Een systeem dat berichten mag versturen maar geen gevoelige informatie of externe input verwerkt, is beperkt in zijn schadepotentieel.

Het probleem ontstaat wanneer alle drie samenkomen. Dat is precies wat bedrijven nu in hoog tempo organiseren. Een customer service AI-agent leest klachten, raadpleegt het klantdossier en stuurt antwoorden. Een procurement AI-agent leest leveranciersdocumenten, raadpleegt interne prijs- en risicodata en communiceert terug. Een AI-agent bij HR leest cv’s, vergelijkt interne functieprofielen en zet kandidaten door. Een finance AI-agent leest facturen, checkt contracten en initieert betaalvoorstellen.

In elk van deze situaties komt onbetrouwbare input van buiten de organisatie binnen: een e-mail, een pdf, een supportticket, een cv, of een factuur. Voor een traditioneel systeem is dat input. Voor een taalmodel kan het ook als instructie fungeren. Dat is het fundamentele beveiligingsprobleem van prompt injection: het model kan moeite hebben om strikt onderscheid te maken tussen de opdracht van de organisatie en de tekst die het moet verwerken.

De klassieke beveiligingsvraag was: heeft deze gebruiker toegang? De nieuwe vraag is: welke instructies kan deze input aan ons systeem geven, en welke bevoegdheden hangen daaraan vast? Dat is een veel moeilijkere vraag, omdat de aanval niet per se lijkt op een aanval. Zij kan verpakt zijn in een normale commerciële interactie.

Supply chain-risico’s: niet alleen uw leverancier, maar ook diens prompt

De supply chain is bij uitstek de plek waar AI-risico’s zich vermommen als efficiëntiewinst. Leveranciersmanagement, contractanalyse, orderverwerking, voorraadplanning, kwaliteitscontrole en factuurafhandeling zijn allemaal domeinen waarin AI nuttig lijkt. Het zijn ook domeinen waarin organisaties structureel informatie van derden verwerken.

Daarnaast is er de technische AI-keten zelf. Veel organisaties bouwen niet vanaf nul. Zij gebruiken modellen, cloudproviders, vector databases, plug-ins, SaaS-integraties, externe datasets, monitoringtools en gespecialiseerde AI-leveranciers. Juridisch gezien is dat geen detail. Het bepaalt wie verwerker is, wie verantwoordelijke is, wie provider of deployer is onder AI-regelgeving, wie welke documentatie moet leveren en waar aansprakelijkheid contractueel wordt gelegd. Een AI-risicoanalyse die alleen naar het eigen gebruik kijkt en niet naar de technische toeleveringsketen, is onvolledig.

Upstream, downstream en de buitenwereld: wie wordt geraakt door uw AI?

AI-risico’s stoppen niet bij de contractuele keten. Externe stakeholders worden steeds vaker geraakt door interne automatisering: werknemers, sollicitanten, consumenten, klanten, leveranciers, toezichthouders, aandeelhouders, verzekeraars, banken en soms ook publieke instellingen.

Een AI-systeem dat sollicitanten rangschikt, raakt arbeidsrechtelijke en privacybelangen. Een systeem dat klantvragen over een medisch, financieel of juridisch product beantwoordt, kan verwachtingen wekken waarop mensen handelen. Een systeem dat duurzaamheidsdata uit de keten samenvat, kan bijdragen aan onjuiste rapportage. Een systeem dat softwarecode genereert, kan kwetsbaarheden introduceren in producten die aan derden worden geleverd.

Het lastige is dat veel van deze risico’s niet als AI-risico worden gelabeld. Ze verschijnen als datalek, contractbreuk, productdefect, misleidende communicatie, discriminatie, onrechtmatige verwerking, tekortschietende beveiliging of gebrekkige governance. Dat maakt AI juridisch verraderlijk: het incident heeft een technische oorzaak, maar het geschil wordt vaak uitgevochten onder bestaande rechtsnormen.

Wie wacht op een aparte “AI-aansprakelijkheidswet” mist daarom de kern. De wetgever hoeft niet elk AI-scenario apart te regelen om ondernemingen verantwoordelijk te houden. Het recht beschikt al over voldoende aangrijpingspunten: contractuele zorgplichten, onrechtmatige daad, productaansprakelijkheid, privacyrecht, cybersecurityregels, sectorale toezichtnormen en bestuursrechtelijke handhaving. AI maakt die normen niet irrelevant. AI maakt het moeilijker om aan te tonen dat ze niet zijn nageleefd.

Wanneer techniek faalt, vraagt het recht naar controle

In technische teams wordt vaak gesproken over model performance, latency, hallucination rate, evals, embeddings, context windows en retrieval. Dat zijn belangrijke begrippen. Maar in een juridisch geschil worden andere vragen gesteld:

  • Was het risico voorzienbaar?
  • Welke maatregelen waren aanwezig en waren deze redelijk?
  • Welke bevoegdheden had de AI?
  • Was er menselijke tussenkomst, en was die reëel of slechts formeel?
  • Waren leverancierscontracten, verwerkersafspraken en interne policies op orde?

Dit zijn juridisch klassieke vragen. AI verandert vooral de bewijspositie. Een organisatie die niet kan uitleggen hoe een AI-besluit tot stand kwam, heeft niet automatisch ongelijk, maar begint wel met een achterstand. Zeker wanneer het systeem persoonsgegevens verwerkt, hoog-risicobesluiten ondersteunt, operationele schade veroorzaakt of verbonden is met gereguleerde processen.

“De AI deed het” is geen juridisch verweer. ‘De AI’ heeft geen rechtspersoonlijkheid, geen eigen vermogen en geen zelfstandige zorgplicht. De relevante vraag blijft welke natuurlijke persoon of rechtspersoon het systeem heeft ingezet, beheerd, getraind, gekoppeld, gemonitord of onvoldoende begrensd. Organisaties kunnen bevoegdheden delegeren aan software, maar zij delegeren daarmee niet hun verantwoordelijkheid.

De juridische onderstroom: AI Act, AVG, NIS2, DORA en productaansprakelijkheid

In Europa wordt het juridische kader inmiddels steeds concreter. Vijf regelingen verdienen bijzondere aandacht.

AI Act

De AI Act introduceert een risico-gebaseerd stelsel met verboden praktijken, verplichtingen voor hoog-risicosystemen, regels voor general purpose AI-modellen en transparantieverplichtingen. Niet ieder bedrijfsgebruik van AI is hoog risico. Maar zodra AI wordt gebruikt in domeinen zoals arbeid, krediet, onderwijs, kritieke infrastructuur of bepaalde vormen van toegang tot essentiële diensten, verschuift het gesprek van innovatie naar AI Act compliance.

AVG

Veel AI-systemen verwerken persoonsgegevens, al is het maar omdat zij klantcommunicatie, werknemersdata, e-mails, supporttickets of gebruikersgedrag analyseren. De bekende AVG-verplichtingen blijven onverkort gelden, maar worden bij agentic AI lastiger te onderbouwen: doelbinding en dataminimalisatie staan op gespannen voet met AI-systemen die brede toegang krijgen tot interne data, en transparantie wordt moeilijker naarmate besluitvorming verder geautomatiseerd raakt.

NIS2 en DORA

Cybersecurityregels voegen een tweede laag toe. NIS2 legt voor essentiële en belangrijke entiteiten nadruk op risicobeheersing, incidentmelding, ketenbeveiliging en bestuurlijke verantwoordelijkheid. Voor de financiële sector geldt het sectorale equivalent DORA, met vergaande eisen aan ICT-risicobeheer, incidentmanagement, weerbaarheidstesten en ICT-uitbesteding aan derden.

Cyber Resilience Act

De Cyber Resilience Act trekt cybersecurity bovendien naar de productkant: digitale producten moeten veiliger worden ontworpen, onderhouden en ondersteund.

Herziene productaansprakelijkheid richtlijn

De nieuwe productaansprakelijkheidsregels zijn minstens zo relevant. Software en AI-systemen worden nadrukkelijk onder het productbegrip gebracht. Voor aanbieders van digitale producten, slimme apparaten of AI-ondersteunde functionaliteit volstaan contractuele disclaimers dan niet langer: de toets wordt of het product de veiligheid biedt die men redelijkerwijs mag verwachten — mede gelet op updates, cybersecurity, data-afhankelijkheid en voorzienbaar gebruik.

Dit zijn geen vrijblijvende governance principes. Het zijn dwingende kaders die niet simpelweg kunnen worden weggeschreven in algemene voorwaarden. Contracten blijven essentieel, maar zij zijn niet het hele verhaal.

De naschok: contracten, vrijwaringen en verzekeringen

Wanneer AI schade veroorzaakt, zal de eerste discussie vaak contractueel zijn. Is geleverd wat is beloofd? Zijn service levels gehaald en heeft de leverancier voldoende beveiliging geboden? Dekt de vrijwaring ook AI-gerelateerde schade? En wie draagt schade door foutieve output, datalekken, modelwijzigingen of onjuiste automatisering?

Veel bestaande contracten zijn hier niet op geschreven. SaaS-contracten bevatten vaak ruime disclaimers voor output; klantcontracten juist harde garanties over vertrouwelijkheid, continuïteit, compliance en dataverwerking. Tussen die twee posities ontstaat een aansprakelijkheidsvacuüm: een AI-leverancier beperkt zijn aansprakelijkheid bijvoorbeeld tot de jaarlijkse abonnementsfee, terwijl de onderneming richting klanten aansprakelijk is voor bedrijfsstilstand, datalekken of foutieve besluitvorming. Het juridische risico is dan niet gemitigeerd maar verplaatst. Hetzelfde geldt voor verzekeringen: veel cyber- en beroepsaansprakelijkheidspolissen zijn niet geschreven voor agentic AI, autonome besluitvorming of schade door foutieve modeloutput.

Daarnaast kan AI-falen leiden tot buitencontractuele claims. Een benadeelde derde heeft niet altijd een contract met de organisatie die het systeem gebruikte. Toch kan sprake zijn van onrechtmatig handelen, misleidende informatie, schending van een wettelijke plicht of onvoldoende zorgvuldigheid. Bij persoonsgegevens kan een betrokkene rechtstreeks rechten uitoefenen. Bij consumenten kunnen toezichthouders optreden. Bij gereguleerde sectoren kan een technisch incident een toezichtincident worden.

Human in the loop is geen toverspreuk

Veel organisaties beantwoorden AI-risico’s met één geruststellende zin: er zit altijd een mens tussen. Maar juridisch en praktisch is dat onvoldoende. De vraag is wat die mens daadwerkelijk doet.

Een medewerker die honderd AI-besluiten per dag moet controleren, wordt al snel een stempelmachine. Een compliance officer die alleen uitzonderingen ziet die door hetzelfde systeem zijn gefilterd, kijkt door een AI-bril naar een AI-risico. Een manager die formeel goedkeurt zonder toegang tot onderliggende data, logging of alternatieven, is geen effectieve waarborg. De human in the loop werkt alleen als de mens tijd, kennis, mandaat en informatie heeft om af te wijken.

Daarom moet men onderscheid maken tussen menselijke betrokkenheid en menselijke controle. Betrokkenheid betekent dat ergens in het proces een persoon aanwezig is. Controle betekent dat die persoon het systeem kan begrijpen, corrigeren, stoppen en overrulen. Dat laatste vereist ontwerpkeuzes: duidelijke escalatiegrenzen, logging, uitlegbaarheid op procesniveau, bevoegdheidsbeperkingen en noodprocedures.

Een menselijke goedkeuringsknop is geen juridische reddingsboei als iedereen weet dat die knop routinematig wordt ingedrukt.

AI governance in vijf stappen: wat ondernemingen nu moeten doen

De beste reactie op AI-risico is niet om het dan maar niet te gebruiken. Daarvoor is de technologie te nuttig en te diep verweven met concurrentiekracht. Maar de slechtste reactie is experimenteren zonder kennis en bewustzijn. Elke organisatie die AI in processen gebruikt, kan vandaag met de volgende vijf stappen beginnen.

Stap 1: AI-register op procesniveau

Niet alleen tools inventariseren, maar processen. Niet “wij gebruiken model X”, maar: in dit proces leest AI klantdata, verwerkt zij externe documenten, raadpleegt zij interne kennisbanken en mag zij conceptbesluiten klaarzetten. Pas dan wordt zichtbaar waar potentieel de lethal trifecta optreedt. Onzichtbare, onbeheersbare AI-toepassing en snelle SaaS-adoptie maken dit overzicht in veel organisaties juist het zwakste punt.

Stap 2: juridische classificatie

Is de organisatie aanbieder, gebruiker, verwerker, verwerkingsverantwoordelijke, importeur, distributeur of productintegrator? Valt het gebruik onder hoog-risico AI? Is een DPIA nodig? Geldt sectorale regelgeving? Welke contracten regelen de keten? Welke toezichthouder kan betrokken raken? Welke meldplichten bestaan bij incidenten?

Stap 3: technische begrenzing

AI-systemen moeten niet meer rechten krijgen dan noodzakelijk. Externe communicatie moet worden beperkt, gemonitord en waar nodig goedgekeurd. Toegang tot vertrouwelijke data moet worden gesegmenteerd. Onbetrouwbare input moet herkenbaar en geïsoleerd worden verwerkt. Tools die betalingen, datadeling, contractwijzigingen of klantbesluiten mogelijk maken, verdienen strengere controles dan tools die samenvatten of zoeken. Logging en reproduceerbaarheid zijn geen nice-to-have maar must-have; zij zijn de toekomstige bewijsbasis.

Stap 4: contractuele herziening

Leverancierscontracten moeten iets zeggen over modelwijzigingen, datagebruik, auditrechten, subverwerkers, security, incidentmelding, logging, aansprakelijkheid, vrijwaringen en exit. Klantcontracten moeten realistisch aansluiten op wat upstream kan worden gecontroleerd. Interne policies moeten duidelijk maken wanneer AI wel en niet mag worden gebruikt, vooral bij vertrouwelijke informatie, persoonsgegevens en gereguleerde besluitvorming.

Stap 5: bestuurlijke inbedding

AI-risico hoort niet uitsluitend bij IT of legal. Het raakt strategie, operatie, reputatie, compliance, privacy, security, inkoop en commercie. Bestuurders hoeven geen modelarchitecten te worden. Zij moeten wel kunnen aantonen dat de organisatie een werkend systeem heeft om AI-risico’s te identificeren, te wegen en te beheersen.

De echte vraag: bent u klaar om uit te leggen wat er misging?

Veel AI-discussies blijven steken in abstracties: bias, hallucination, ethics, innovation, productivity. Die begrippen zijn belangrijk, maar in de praktijk komt het vaak neer op een eenvoudiger scenario. Er gaat iets fout. Een klant lijdt schade. Een betrokkene vraagt inzage. Een toezichthouder stelt vragen. Een contractspartij beroept zich op garanties. De board wil weten waarom niemand dit had voorzien.

Op dat moment is de relevante vraag niet of AI in algemene zin riskant is. De vraag is of déze organisatie, voor dít systeem, in dít proces, met déze data en déze bevoegdheden, voldoende heeft nagedacht over voorzienbare risico’s en passende maatregelen.

Daar zit de kern. AI creëert geen volledig nieuw recht, maar het legt zwakke plekken in bestaande governance bloot: onduidelijke eigenaarschapstructuren, verouderde contracten, onvolledige verwerkersafspraken, te ruime systeemrechten, gebrekkige logging, ongeteste incidentprocedures, een afhankelijkheid van leveranciers die juridisch niet is doordacht, een board die denkt dat AI onder innovatie valt terwijl de risico’s onder toezicht, aansprakelijkheid en continuïteit vallen.

De ondernemingen die dit goed aanpakken, zullen AI niet trager gebruiken. Zij zullen het beter gebruiken. Zij zullen weten waar AI mag adviseren, waar AI mag voorbereiden en waar AI nooit zelfstandig mag handelen. Zij zullen hun ketencontracten afstemmen op hun operationele werkelijkheid. Zij zullen technische controles ontwerpen met juridische bewijsbaarheid in gedachten. En zij zullen bij incidenten niet hoeven te improviseren.

De rest zal ontdekken dat AI-risico’s zich zelden melden als AI-risico. Zij komen binnen als klantclaim, datalek, productdefect, toezichtsbrief, contractgeschil of reputatiecrisis. Tegen die tijd is de vraag niet meer of AI efficiënt was. De vraag is waarom niemand eerder heeft gevraagd wie verantwoordelijk is als het systeem deed wat het mocht doen, maar niet wat het had moeten doen.

Voor organisaties die AI inmiddels in hun processen hebben verweven, is dit het moment om dat gesprek te voeren. Niet over de hype, maar over bevoegdheden, ketens, bewijs, toezicht en aansprakelijkheid. Niet omdat innovatie moet worden afgeremd, maar omdat onbeheerde innovatie uiteindelijk altijd ergens op de balans verschijnt.